질문: API가 손상되거나 남용되면 조직은 어떻게 됩니까?

Michael Isbitski, 기술 전도사, Salt Security: API 남용으로 인한 영향에는 데이터 침해 및 브랜드 손상에 대한 명백한 답변이 포함되지만 보안 실무자는 더 많은 문제와 씨름하고 있습니다. API 남용의 결과로 발생한 700억 달러의 Equifax 합의는 잠재적인 비즈니스 영향에 대한 측정값이 되었습니다. 최근 API 보안 사고를 관찰한 결과 가장 큰 영향은 데이터 손실, 개인 정보 침해, 계정 탈취, 사기 및 공급망 손상을 포함했습니다.

API가 충분한 인증 및 권한 부여를 시행하지 않는 경우 데이터 손실이 만연합니다. 이는 조직에서 API 채택을 촉진하기 위해 액세스 제어를 완화할 때 저지르는 일반적인 실수입니다. 또한 인증이 필요한 API에 대해서도 악의적인 행위자가 API를 통해 대량으로 데이터를 수집하는 많은 스크래핑 사건을 보았습니다. 최근 스크래핑의 예에는 Facebook 및 LinkedIn의 API 사건뿐만 아니라 보안 연구원에 의해 대량 스크래핑의 가능성이 일찍 공개된 Experian 및 Peloton의 사건이 포함됩니다. 피해자 조직을 위한 회사 라인은 이러한 사건이 데이터 침해의 정의에 맞지 않는 경우가 많지만 규정 언어는 다를 수 있으며 개인 정보가 고객에게 미치는 영향은 분명합니다.

공격자는 또한 사용자 자격 증명 또는 계정 탈취(ATO)를 손상시킬 목적으로 무차별 대입 및 자격 증명 채우기 기술을 사용하여 API를 남용합니다. ATO에 대한 우려는 모든 산업 분야에서 공통적이지만 금융 서비스와 금융 기술에 특히 큰 타격을 줍니다. 공격자가 계정을 탈취하면 해당 액세스 권한을 사용하여 권한을 더 높이거나 다른 사기를 영속시킵니다. API가 초기 또는 주요 공격 벡터인 디지털 공급망 공격과 복잡한 공격 체인도 보았습니다. 공격자가 API를 통해 액세스 권한을 얻은 후에는 해당 액세스를 악용하여 다른 시스템을 손상시키거나 조직의 네트워크 내에서 피벗합니다. 2021년 XNUMX월의 Microsoft Exchange Server 공격은 이러한 유형의 API 공격의 좋은 예입니다.